ドリフトで2億8000万ドル流出、6カ月準備の組織的攻撃か　北朝鮮関連組織の可能性

ソラナ基盤のデリバティブ取引所ドリフト（Drift）を巡るハッキングは、北朝鮮関連組織による長期潜伏型の攻撃だった可能性が浮上した。

ザ・ブロックが8月5日に伝えたところによると、ドリフトは8月1日に発生した約2億8000万ドル規模のハッキングについて、約6カ月かけて準備された組織的な作戦だったと明らかにした。攻撃者は2025年下半期のグローバルイベントでトレーディング会社を装って接触し、その後は対面での接触や協業を通じて内部の信頼を築いた。

攻撃者は一般利用者を装ってプラットフォームに参加し、100万ドル超の資金を預け入れた。協業の過程にも関与し、これを通じて内部へのアクセス経路を確保したとドリフトは分析した。

攻撃手法はスマートコントラクトの脆弱性を突くものではなく、ソーシャルエンジニアリングとシステム上の弱点を組み合わせたものだった。悪性コードを含むリポジトリーへのアクセスや、テストフライト（TestFlight）ベースのアプリ導入を促す手口で、開発者の端末に侵入した形跡が示された。

その後、攻撃者はソラナ（SOL）の「デュラブルノンス」機能を利用し、事前に確保していたマルチシグ承認権限を基に管理者権限を奪取したうえで、短時間で資金を引き出した。

ドリフトは、オンチェーン上の資金の流れと攻撃パターンを踏まえ、今回の事件は2024年のラディアント・キャピタルのハッキングと同じ北朝鮮関連組織による犯行の可能性が高いと評価した。実際に接触した人物には第三者が使われていたといい、身元偽装とオフラインの人的ネットワークを組み合わせた巧妙な手法だったと分析している。

現在、ドリフトはプロトコル機能を停止し、侵害されたウォレットを除去するなど対応を進めている。今回の事件は今年最大のディファイ（DeFi）ハッキングで、ソラナ生態系でも過去2番目の規模のセキュリティー事故として記録された。